Yeni Gelişmeler
Kişisel Verileri Koruma Kurumu (“Kurum“), 7 Mayıs 2020 tarihli duyurusunda yurt dışına veri aktarımında hazırlanacak taahhütnamelerde dikkat edilmesi gereken hususları duyurdu. Bu kapsamda Kurum, yurt dışına veri aktarımı izin başvurularında usule ve esasa ilişkin önemli hususlara ve başvuruda sağlanması gereken bilgi ve belgelere ilişkin açıklamalarda bulundu. Kurum’un duyurusuna buradan ulaşabilirsiniz.
Kurum Ne Diyor?
Kişisel Verileri Koruma Kanunu (“Kanun“) uyarınca kişisel verinin aktarılacağı ülkede yeterli veri korumasının bulunmaması durumunda kişisel veriler, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının/veri işleyenlerin yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurumu’nun izninin alınması kaydıyla açık rıza alınmaksızın yurt dışına aktarılabilmektedir.
Bu kapsamda izin başvurusunda bulunacak veri sorumlularının, başvuru sırasında başvurmaya yetkili kişiye ait bilgiler ile birlikte kişinin imzaya yetkili olduğunu tevsik edici belgeleri de Kurum’a sunması gerekmektedir. Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalı ve taahhütname hazırlanırken Kurum’un internet sitesinde yer alan Taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmelidir. Taahhüt içeren cümlelerde gelecek zaman kipi kullanılmalıdır (Örn. “Veri aktaran, veri alıcısına; aktarılan kişisel verilerin 6698 sayılı Kanun ile bu sözleşme hükümlerine uygun olarak işleneceğini bildirecektir.”).
Aktarımın tarafları arasındaki ilişki doğru şekilde tespit edilerek Kurum’un taahhütname örneklerinden uygun olanı kullanılmalıdır. Bu doğrultuda tarafların hukuki statülerine ilişkin anlaşılır detayda açıklamalara yer verilmesi ve aradaki ilişkiyi gösteren tevsik edici herhangi bir belgenin (sözleşme vb.) bulunması halinde bu belgenin de taahhütname ile gönderilmesi gerekmektedir. Taahhütname ve ekinde yer verilen belgeler düzenlenirken kişisel verilerin işlenme amacına ilişkin Kanun’da yer alan genel ilkelerin gözetilmesi gerekmektedir. Açık rıza şartına dayalı gerçekleştirilecek olan yurt dışı kişisel veri aktarımları taahhütname konusu edilmeyecektir.
Taahhütname Ek’inde yer alan açıklamalar bakımından, veri konusu ve kişi grupları belirtilirken “gibi, ve benzeri, olası, muhtemel…” gibi muğlak ifadelerden kaçınılması, veri konusu kişi gruplarının net bir şekilde ortaya konması gerekmektedir. Bu anlamda, hangi veri konusu kişi grubunun, hangi kişisel verilerinin, hangi amaca ve hukuki sebebe bağlı olarak aktarılacağı hususu, söz konusu başlıklar arasında bağ kurularak detaylıca açıklanmalıdır. Veri kategorileri için de muğlak ve geniş ifadelerden kaçınılması ve bu verilerin hangi kişi gruplarına ait olduğu açıkça belirtilmesi gerekiyor.
Kurum’un açıklamaları uyarınca, taahhütnameye taraf veri alıcısından, bu alıcı dışındaki diğer bir veri sorumlusu veya veri işleyene sonraki devam eden veri aktarımı gerçekleşemeyecektir. Bu durumdaki veri sorumluları veya veri işleyenlerle ayrıca taahhütname imzalanması veya tek bir taahhütname metninin veri aktarılan veri alıcısı ile söz konusu veri sorumluları ya da veri işleyenler tarafından birlikte imzalanması gerekmektedir. Sonraki devam eden veri aktarımları ancak veri alıcısının mevzuatta öngörülen hukuki yükümlülükleri gereğince aktarım gerektiren yetkili kurum ve kuruluşlara yapılabilmektedir.
Sonuç
Yukarıdaki kapsamda Kurum’a izin başvurusunda bulunacak veri sorumlularının, Kurum’un duyurusunda yer alan yönlendirmeleri takip etmeleri ve taahhütname metinlerini bu doğrultuda hazırlamaları gerekmektedir.
COVID-19 salgını ile ilgili hukuki düzenlemelerle ilgili bilgilere Esin Avukatlık Ortaklığı Coronavirüs Masası‘ndan ulaşabilirsiniz.